Le monde a-t-il besoin d’une hotline de cyberassistance multilatérale ?
Lorsque quelqu’un vous balance des ogives nucléaires, vous savez assez précisément d’où elles viennent. Il n’y a que quelques nations qui possèdent la puissance nucléaire et, au cours des décennies de la guerre froide, elles ont développé des réseaux complexes de renseignement stratégique et d’alerte précoce.
Mais qu’en est-il d’une cyberguerre ? En particulier le type de cyberattaque massive et multi-vecteur ciblant les infrastructures critiques ? Un tel type d’attaque est nommé “cyberblitzkrieg”. La cyberattribution est difficile. Ce n’est pas impossible, mais cela prend du temps. Un temps qui n’existe pas lorsque votre infrastructure s’effondre.
Et les représailles contre la mauvaise cible pourraient bien entraîner un désastre. Une solution possible, du moins en partie, pourrait consister à installer des “cyberhotline” directes entre dirigeants nationaux. La hotline Moscou-Washington mise en place pendant la guerre froide en est l’archétype.
Lors de la crise nucléaire de 1962, les messages diplomatiques officiels ont mis jusqu’à six heures pour être transmis. Les présidents John F. Kennedy et Nikita Khrouchtchev ont dû recourir à des canaux non officiels, notamment en relayant les messages par l’intermédiaire de correspondants de télévision. La ligne téléphonique Moscou-Washington était installée l’année suivante.
En fait, cette ligne téléphonique n’a jamais relié les emblématiques téléphones rouges représentés à la télévision et au cinéma. Au début, c’était un télétype, puis un fax, et maintenant un courrier électronique. Au départ, ses lignes téléphoniques terrestres étaient secondées par une liaison radio via Tanger, au nord-ouest du Maroc. Aujourd’hui, un ensemble de liaisons par satellite sont renforcées par de la fibre optique. Et au moins huit autres paires de nations ont développé leurs propres lignes directes.
Les versions électroniques de ces lignes directes sont une recommandation clé de la Cyberspace Solarium Commission (CSC), une initiative du gouvernement américain visant à « développer un consensus sur une approche stratégique » pour défendre la nation contre les « cyberattaques aux conséquences importantes ».
« Le gouvernement américain devrait développer une stratégie de signalisation à plusieurs niveaux visant à traiter les risques d’escalade. Cette stratégie de signalisation devrait également communiquer efficacement aux alliés et partenaires les objectifs et intentions des Etats-Unis », indique le rapport de la CSC [PDF]. « Le niveau stratégique de la signalisation devrait impliquer une signalisation diplomatique publique et ouverte par le biais de mécanismes traditionnels qui ont déjà été établis pour d’autres domaines, ainsi que des communications diplomatiques privées par le biais de mécanismes tels que les lignes directes et autres canaux non publics (y compris les canaux de tiers dans les cas où les Etats-Unis peuvent manquer de relations diplomatiques solides). »
Au niveau opérationnel, cela devrait inclure « une signalisation protégée et secrète qui est délibérément couplée à des cyberopérations », indique le CSC. Ce dernier recommande également d’élaborer un cadre pour indiquer « quand et dans quelles conditions le gouvernement américain s’attribuera volontairement des cyberopérations et des campagnes dans le but de signaler sa capacité et son intention à divers publics ».
Les outils diplomatiques tels que les lignes directes sont des exemples de ce que les diplomates appellent des « mesures de confiance ».
Un cyberéquivalent de l’Agence internationale de l’énergie atomique ?
Le Open-Ended Working Group (OEWG) est l’un des deux organes des Nations unies qui négocient les règles du cyberespace. Cet organisme souligne l’importance d’une attribution précise des cyberattaques. « Il a été suggéré que le développement d’une approche commune de l’attribution au niveau technique pourrait conduire à une plus grande responsabilité et transparence, et pourrait aider à soutenir le recours juridique pour les personnes lésées par des actes malveillants », écrit l’OEWG dans son projet de rapport.
A cette fin, la Fondation ICT4Peace, basée à Genève, a proposé ce qu’elle a appelé un réseau mondial de cyberattribution. « ICT4Peace propose la mise en place d’un réseau indépendant d’organisations s’engageant dans l’attribution par les pairs », a écrit l’organisation dans sa note politique Trust and Attribution in Cyberspace [PDF]. Actuellement, la plupart des attributions sont faites par des organismes privés de renseignement sur les cybermenaces et des agences de sécurité nationale.
« Pour que les dispositions juridiques internationales soient efficaces et que la responsabilité des cyberactivités malveillantes s’impose, il faut des niveaux de confiance élevés et une attribution des responsabilités publiquement persuasive », écrit ICT4Peace. Cette nouvelle agence d’attribution indépendante devrait inclure « des représentants du gouvernement, des experts du secteur privé ainsi que des partisans de la société civile et du monde universitaire ».
Microsoft a également suggéré, en 2017, une organisation d’attribution pour renforcer la confiance en ligne dans le cadre de sa proposition de Convention de Genève numérique. Une telle agence a été comparée à l’Agence internationale de l’énergie atomique. Mais le monde cybernétique est très différent.
« La technologie nucléaire est de conception industrielle. Il est difficile, voire impossible, de développer des capacités nucléaires dans la clandestinité. De plus, l’utilisation militaire de la technologie nucléaire est très différente de l’utilisation civile », écrit ICT4Peace. « Les cybercapacités, en revanche, sont basées sur des logiciels. Contrairement à la technologie nucléaire, les cyberoutils n’émettent pas de radiations suspectes et ne nécessitent pas d’usines pour leur développement. Une poignée de personnes réunies dans une pièce peut lancer une cyberattaque d’une ampleur considérable. »
Bien qu’une agence indépendante ne soit pas en mesure de fournir une attribution en temps réel lors d’une cyberattaque, son existence et sa capacité à valider ou à réfuter par la suite les affirmations d’une nation pourraient permettre de mettre un terme à la cyberenchère.
Source : ZDNet.com
